連載
» 2020年02月18日 07時00分 公開

半径300メートルのIT:バズワードにしたくない、「信頼するな、常に検証せよ」の概念を再確認 (1/2)

セキュリティ業界のあちこちで「信頼するな、常に検証せよ」を示す、とあるキーワードを聞く機会が増えています。今後はさらに拡散し、トレンド化するかもしれません。バズワードとして消費される前に、大切な概念を再確認してみましょう。

[宮田健,ITmedia]

 最近、クラウドセキュリティやDevSecOps、セキュリティ・バイ・デザインなどのお話を聞く機会が増えました。方向性の違う方たちに広い範囲のセキュリティを聞いているにもかかわらず、インタビューの後半になると決まって「それって、○○○○○○のこと?」という気持ちになります。実際に直接「それって、今話題の○○○○○○のことですか?」と確認すると、誰もが「その通り」と答えます。……セキュリティのトレンドに敏感な方ならお気付きかもしれません。「何も信じられないことを前提にしたセキュリティ対策」を示す、アノ言葉です。

TOP どこかから侵入されたら、同じネットワーク内にいる端末は全て被害にあってしまうから……

 ずいぶん前にこの言葉を初めて聞いた時、筆者は「ははあ、また新しいバズワードが登場したな」程度にしか認識していませんでした。しかし当時から「この考え方はこれから非常に重要になるので、本質を伴わないバズワードとしては広まってほしくない」という声も聞いたものです。そして現状は……ちょっと心配だなあというのが本音です。

三菱電機の不正アクセス被害概要が発表される

 さて、今回は先日も少し触れた、三菱電機が受けた不正アクセスの話題を再度取り上げたいと思います。2019年6月28日に判明した不正アクセス被害が、2020年1月20日にスクープとして報じられた件です。三菱電機は2020年2月12日、この不正アクセスによる個人情報、企業機密の流出可能性について第3報を公開しました。

三菱電機 不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報)

 第3報の中には、スクープ報道の際に話題になっていた疑問点のうち2点についての言及がありました。

 まず「情報公開がこのタイミングになったのはなぜか」という点。2019年6月の被害が6カ月たってから報じられたため、筆者は当初「新聞社によるスクープがきっかけで、重い腰を上げたのでは」と考えていました。しかし今回のレポートによれば、不正アクセスは「Windows PowerShell」を使ったいわゆる「ファイルレスマルウェア」による標的型サイバー攻撃であり、その情報はしかるべきタイミングでJPCERTコーディネーションセンターに報告されていたのだそうです。

未公開脆弱性情報・マルウエア情報・不正通信先アドレス情報などについては、一般社団法人 JPCERT コーディネーションセンター(以下、JPCERT/CC)をはじめとするサイバーセキュリティーの専門機関に報告しました。

 筆者は以前のコラムで「発表による二次被害がない限り、判明したら速やかに対外発表を行うべき」と述べましたが、かといって「あらゆるインシデントを報道機関に知らせ、全ての国民につまびらかに報告するべきだ」とも思いません。同種のサイバー攻撃を受ける可能性のある企業にあらかじめ情報を共有することで被害の拡大を防ぐ「減災と防疫」の観点から、情報を隠してはいけないと考えているためです。

 そういった意味では今回のレポートから、関係者間ではうまく情報が連携されていたらしいことが分かります。同業他社がこれで救われたと信じたいところです。

 そしてもう一つの疑問が「マルウェアが侵入の侵入経路」です。一体どのようにして攻撃が成立したのでしょうか? この点に関しては、レポート内で攻撃手法が公開されています。

最初のステップは中国拠点における「ウイルス対策管理サーバ」の未公開脆弱性 最初のステップは中国拠点における「ウイルス対策管理サーバ」の未公開脆弱性(出典:三菱電機 不正アクセスによる個人情報と企業機密の流出可能性について(第3報))

 これによると、攻撃者は中国拠点における「ウイルス対策管理サーバ」の未公開脆弱(ぜいじゃく)性を悪用してアップデート機能を乗っ取り、ファイルレスマルウェアによるPCクライアントへの遠隔操作を可能にしたそうです。

 ここで注目すべきはウイルス対策管理サーバそのものはインターネットで公開されていないはずだという点です。おそらく問題のサーバは、以前から何らかの侵入を受けていたのではないでしょうか。三菱電機とウイルス対策管理サーバがこの脆弱性に対して何らかの対策を打っていれば、被害を防げた可能性があります。しかし報告に「未公開の脆弱性」とある通り、対策が難しかったのかもしれません。ファイルレスマルウェアが広まったタイミングで検知できる仕組みの整備が必要だったのかもしれません。

 このレポートからは、三菱電機が受けた不正アクセス被害はどの企業でも起こりうるのだということが分かります。われわれは事件が起きてしまったことを騒ぐよりも、三菱電機がこのレポートをこのタイミングでしっかり出してきたという点を評価すべきでしょう。残念ながら、こういった報告書を出さずに逃げてしまった組織も存在するわけですから。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ